最近 ASEC(AhnLab Security Emergency response Center)分析チームは、スペインのユーザーを対象として情報流出型マルウェアの StrelaStealer が拡散していることを確認した。StrelaStealer マルウェアは2022年11月ごろに初めて発見され、スパムメールの添付ファイルを通じて配布されている。添付ファイルには ISO ファイルが利用されてきたが、最近は ZIP ファイルが利用されている。

拡散している電子メールは[図1]の通りである。このメールではスペイン語で作成された本文と圧縮ファイルの名前を確認することができ、本文は費用の支払い内容と一緒に添付されている送り状の確認を誘導する内容である。

添付されたファイルは ZIP ファイルで、内部には PIF ファイルが存在している。PIF ファイルは実際に不正な振る舞いを実行する StrelaStealer で、電子メールのアカウント情報を窃取するマルウェアである。

実行すると、まず「コンピューター名」と「strela」文字列を XOR[6桁] した値でミューテックスを生成する。その後、Thunderbird および Outlook の情報を収集するが、この時、関連情報が存在しない場合にはメッセージボックスを生成して終了する。

メッセージボックスは電子メールと同じくスペイン語で作成されており、ファイルが損傷したため実行できないという内容が含まれている。このメッセージボックスを見てユーザーは損傷したファイルであると思い込むため、マルウェアが実行されたことを認知しにくい。

窃取する情報のうち1つ目は Thunderbird アカウント情報であり、以下のパスのファイルを読み込んで C2 に送信する。
- %AppData%\Thunderbird\Profiles\[プロフィール名]\logins.json
- %AppData%\Thunderbird\Profiles\[プロフィール名]\key4.db

2つ目の窃取情報は Outlook アカウント情報であり、以下のレジストリ値を読み込んで C2 に送信する。追加で、「IMAP Password」値の場合、CryptUnprotectData API を通じてデータを復号化した後、送信する。
- HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\IMAP Password
- HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\IMAP User
- HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\IMAP Server
窃取した情報を送信する C2 は以下の通りであり、正常に受信したかを確認するため、レスポンス値で「KH」文字列を確認する。
- C2 – hxxp://91.215.85[.]209/server.php
最近、スペインのユーザーを対象として電子メールのアカウント情報を窃取するマルウェアの配布が確認されており、窃取した情報によって二次被害が発生する恐れがあるため、注意が必要である。ユーザーは出どころの不明なメールの閲覧を自制しなければならず、添付されたファイルを実行しないようにしなければならない。また、周期的に PC のメンテナンスを行い、セキュリティ製品を最新エンジンにアップデートしなければならない。
[ファイル検知]
Trojan/Win.Generic.R577470 (2023.05.14.01)
[IOC]
ba5281c2978e426605f4be767898b323
hxxp://91.215.85[.]209/server.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報